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摘 要 : 在 基于 属性 访问 控制 中 策略 中 ， 如 何 快速 响应 检索 的 访问 控制 请 求 至 关 重 要 ， 而 通过 遍历 策略 集合 每 条 规 
则 中 的 所 有 的 属性 值 去 匹配 相应 规则 的 检索 方法 是 低 效 的 。 因 此 ， 论 文 提出 一 种 基于 二 进 制 序列 的 属性 访问 控制 策 
略 检索 方法 。 采 用 二 进 制 标识 和 二 进 制 编码 表示 基于 属性 的 访问 控制 策略 和 访问 控制 请 求 。 通 过 对 二 进 制 标识 的 逻 
辑 运算 选择 合适 的 分 组 ， 在 组 内 ， 通 过 访问 控制 请 求 的 二 进 制 编码 和 所 有 规则 的 二 进 制 编码 的 匹配 来 查找 合适 的 规 
则 ， 减 少 策略 集合 内 规则 的 属性 与 访问 控制 请 求 属 性 匹配 的 过 程 ， 从 而 提高 策略 检索 效率 。 论 文 在 实验 中 从 策略 预 
处 理 、 策 略 评估 时 间 和 策略 检索 总 时 间 三 个 方面 类 比 相似 检索 方法 的 效率 ， 实 验 结果 表明 ， 论 文 提出 的 策略 检索 方 
法 具有 更 高 的 检索 效率 。 
关键 词 : 云 计 算 ; 属性 访问 控制 策略 ; 检索 效率 ; 匹配 ; 二 进 制 序列 
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Abstract: In Attribute-Based Access Control (ABAC) , how to respond quickly to the retrieved access control request is very 
important, and it is undoubtedly time-consuming to traverse all attribute values in each rule of the policy set until finding the 
appropriate rule. Therefore, the paper proposes an ABAC retrieval method based on binary sequence, and uses binary 
identification and binary coding to represent attribute based access control policies and access control requests. Through the 
logical operation of binary identification, select the appropriate group. In the group, find the appropriate rules by matching 
the binary code of access control request with the binary code of all rules, reduce the process of matching the attributes of 
rules in the policy set with the attributes of access control request, and improve the efficiency of policy retrieval. In the 
experiment, this paper compares the efficiency of similar retrieval methods from three aspects: strategy preprocessing, strategy 
evaluation time and total strategy retrieval time. The results show that the strategy retrieval method proposed in this paper has 
higher retrieval efficiency. 
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引言 的 表达 和 制定 上 具有 较 大 优势 ， 但 如 应 用 到 大 规模 访问 策略 
是 的 云 计算 环境 下 还 是 会 存在 检索 效率 低下 的 问题 。 根 据 
云 计算 技术 的 兴起 和 发 展 为 现代 社会 提供 了 便捷 的 数据 ABAC 和 XACML(extensible access control markup language) 
共享 和 融合 计算 等 服务 ,也 使 计算 和 存储 资源 得 到 充分 利用 。 的 相关 理论 Bl]， 当 用 户 发 起 访问 客体 资源 的 请 求 时 ， 策 略 决 
其 资源 中 包含 了 大 量 的 用 户 隐 私 数据 ， 然 而 相关 机 构 对 这 些 策 点 会 调用 相关 属性 进行 解析 并 匹配 到 所 有 的 策略 ， 这 意味 
数据 的 保护 却 并 不 令 人 满意 。 隐 私 数据 一 旦 泄露 ， 可 能 给 个 着 基于 XACML 的 访问 控制 策略 的 评估 需要 遍历 所 有 的 策略 
人 和 机 构 带 来 不 可 估量 的 损失 钙 。 例 如 ， 西 太平 洋 银行 进行 判断 ， 其 中 属性 匹配 需要 对 访问 控制 请 求 的 所 有 属性 信 
(Westpac) 的 近 10 万 客户 的 私人 信息 遭 到 泄露 和 Instagram 用 息 和 策略 集合 中 的 规则 的 属性 信息 进行 比较 。 其 中 ， 信 息 匹 
户 的 4900 万 数据 遭 到 上 曝光， 都 是 源 于 非法 用 户 的 访问 和 合 配 包括 字符 串 匹 配 和 数值 比较 ， 且 只 有 该 策略 全 部 的 属性 信 
法 用 户 对 资源 的 越权 访问 。 因 此 ， 访 问 控制 技术 作为 保护 资 ” 息 都 和 属性 访问 请 求 (attribute access request, AAR) 匹 配 才 会 
源 的 有 效 手段 备 受 国内 外 研究 者 们 的 关注 。 在 访问 控制 中 ， 授予 主体 访问 客体 的 权限 。 此 外 ， 在 对 策略 集合 中 的 规则 逐 
通过 验证 访问 者 的 身份 信息 和 制定 合适 策略 来 规范 和 限制 访 个 匹配 的 过 程 中 ， 若 每 次 都 是 最 后 一 个 属性 被 匹配 时 ， 才 发 
问 请 求 者 的 权限 ， 从 而 保护 客体 资源 。 这 些 策 略 确保 合法 用 现 它 与 AAR 不 一 致 ， 如 果 此 类 规则 太 多 就 会 增加 策略 检索 
户 在 复杂 的 网 络 环境 中 访问 和 使 用 资源 服务 ， 同 时 阻止 非法 的 时 间 。 本 文 针 对 上 述 问题 提出 一 种 基于 二 进 制 序列 的 属性 
用 户 窃取 资源 和 合法 用 户 的 非法 访问 行为 等 。 其 中 ， 基 于 属 访问 控制 策略 检索 方法 ， 以 提高 策略 检索 效率 。 
性 的 访问 控制 (attribute-based access control, ABAC) 因 具有 本 文 其 余部 分 的 组 织 如 下 : 第 1 节 相 关 理论 及 研究 工作 
粒度 和 灵活 性 ， 并 能 解决 大 规模 的 用 户 激增 问题 而 在 云 计算 介绍 ， 第 2 节 对 基于 二 进 制 序列 的 属性 访问 控制 策略 检索 方 
场景 得 到 广泛 应 用 。 虽 然 ， 现 有 的 ABAC 模型 外 在 安全 策略 法 进行 描述 ， 第 3 节 是 实验 结果 与 分 析 ， 第 4 节 是 结束 语 。 
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录用 定稿 黄 恒 杰 ， 等 : 基于 二 进 制 序列 的 属性 访问 控制 策略 检索 方法 第 39 卷 第 10 期 
二 略 见 余 和 冲突 ,XACML 需 支 持 四 种 组 合算 法 :(1) 优 先 适 用 ， 
1 ”相关 理论 及 研究 工作 CO) 只 适用 一 项 ，(3) 允 许 -覆盖 ，(4) 拒 绝 -覆盖 四 。 为 了 提高 策 
传统 的 访问 控制 由 于 其 本 身 的 一 些 局 限 已 经 不 再 适合 云 略 的 检索 效率 , 文献 [9] 提 出 了 一 种 基于 图 的 XACML 策略 评 
计算 多 域 的 特点 。ABAC 根据 用 户 的 主体 属性 、 客 体 属性 、 佑 方法 ， 该 方法 对 匹配 树 和 合并 树 两 个 策略 评估 策略 数据 结 
环境 属性 等 信息 来 授予 主体 访问 权限 ， 因 其 具有 动态 性 、 细 构 进 行 优化 ,并 且 针 对 策略 匹配 树 提出 一 种 二 进 制 查找 算法 ， 
粒度 和 灵活 性 而 备 受 关 注 。ABAC 可 用 四 元 组 (S,O,E,P) 来 表 该 方法 不 支持 多 值 属性 。 文 献 [10] 提 出 了 一 种 新 的 基于 统计 
示 ， 其 中 ，S 为 主体 (subject)、O 为 客体 (object)、E 为 环境 学 分 析 的 策略 评估 引擎 HPEnigne 来 提高 分 布 式 环境 下 
(environment)、P 为 权限 (privilege)。 XACML 策略 评估 引擎 的 效率 ， 该 引擎 将 策略 由 文本 形式 转 
访问 控制 策略 由 主体 、 客 体 、 环 境 和 权限 组 成 ， 可 形式 换 成 数值 形式 ， 缩 减 了 策略 规模 ， 同 时 ， 采 用 多 缓存 机 制 来 
化 定义 为 : (permit, deny)<_(Attr(S),Attr(O),Attr(E),Attr(P)), 分 提高 策略 的 查找 速度 。 文 献 [11] 提 出 一 种 基于 前 级 的 标记 运 
别 表示 相应 的 属性 取 值 范围 。 一 条 访问 控制 策略 通常 是 由 一 算 的 策略 检索 方法 ， 该 方法 根据 策略 属性 的 取 值 添加 二 进 制 
个 或 多 个 访问 控制 规则 组 成 ， 表 示 主 体 S 在 环境 条 件 E 下 是 否 前 级 ， 从 而 缩小 策略 检索 的 范围 。 这 种 检索 方法 确实 提高 了 
被 允许 对 客体 O 进行 P 权限 的 操作 ， 其 具体 形式 如 下 所 示 。 检索 效率 ， 但 是 ， 在 访问 控制 策略 与 访问 请 求 属性 名 匹配 的 
Rule: access(S,O,E,P) «ASA,OA,EA,PA) 情况 下 ， 其 前 级 计算 反而 造成 时 间 上 的 浪费 。 针 对 该 问题 ， 
这 里 , f 是 一 个 布尔 函数 , 其 作用 是 根据 访问 控制 规则 对 文献 [12] 在 基于 属性 访问 控制 策略 添加 二 进 制 标识 之 后 ， 然 
体 的 主体 、 客 体 、 环 境 和 权限 的 属性 作出 判断 。 若 返回 结 后 在 属性 值 级 别 引 入 策略 决策 树 来 提高 检索 效率 ， 并 且 该 方 
果 为 真 ， 则 允许 访问 ;和 否则， 拒绝 访问 。 在 ABAC 的 授权 步 法 具有 和 良好 的 可 扩展 性 ， 但 是 该 方法 在 访问 控制 策略 属性 比 
又 中 ， 策 略 判 定点 (policy decision point, PDP)、 策 略 执行 点 较 多 的 情况 存在 一 定 的 局 限 性 。 文 献 [13] 在 [11] 的 基础 上 进行 
(policy enforcement point，PEP) 、 策略 管理 点 (policy 研究 ， 提 出 了 一 种 基于 属性 分 组 的 访问 控制 策略 检索 方法 ， 
村” administrate point, PAP) 和 策略 信息 点 (policy information point， ”通过 对 策略 集 进行 基于 属性 的 分 组 而 缩减 策略 检索 的 范围 ， 
a PIP) 是 其 最 为 重要 的 支撑 ， 整 个 过 程 分 为 两 个 阶段 。 从 而 减少 不 必要 的 计算 以 及 比较 过 程 ， 由 此 实现 对 访问 控制 
LO (1) 准 备 阶段 : 策略 的 高 效率 检索 。 
© Q@ 首 先 , PIP 对 所 有 的 主体 、 客 体 、 权 限 和 环境 的 属性 信 在 下 一 代 访 问 控 制 标准 中 ， 策 略 决 策 点 负责 在 访问 控制 
[a | 息 进行 搜集 和 管理 ， 并 把 属性 、 权 限 关 系 进 行 关联 。 策略 中 检索 符合 访问 控制 请 求 的 规则 5。 在 进行 策略 检索 时 ， 
人 @@ 然 后 ,， PAP 从 PIP 获得 构建 ABAC 策略 所 需 的 属性 信 需要 把 AAR 的 属性 和 访问 控制 策略 中 的 每 一 条 规则 的 属性 
(© 息 和 属性 -权限 关系 构建 ABAC 策略 。 信息 进行 比较 ， 直 到 找到 符合 的 规则 ， 这 无 疑 是 费时 的 。 为 
© (2) 执 行 阶段 此 ,文献 [15] 提 出 了 一 种 名 为 PolTree 的 数据 结构 ， 它 通过 两 
CN @@ 当 PEP 接收 到 主体 发 送 的 原始 访问 请 求 (Natural 。 个 变 体 PolTree 和 N-PolTree 来 存储 ABAC 策略 ， 并 减少 策 
AN Access Request, NAR) 时 ，PEP 向 PIP 请 求 获取 构建 AAR 所 略 检索 时 的 属性 - 值 对 的 比较 次 数 , 从 而 提高 策略 的 检索 效率 。 
Co 需 的 主体 属性 、 客 体 属 性 、 环 境 属性 和 权限 属性 来 构建 基于 总 的 来 说 ， 各 种 ABAC 检索 方法 都 有 优势 和 缺点 ， 其 检 
四 日 属性 的 访问 控制 请 求 。 索 效 率 与 传统 的 策略 检索 方法 相 比 ， 其 效率 也 有 所 提高 ， 但 
PP (@PDP 根据 PIP 提供 的 主体 属性 、 客 体 属 性 、 环 境 属性 仍然 存在 一 定 的 局 限 性 。 基 于 路 由 中 二 又 线索 树 能 快速 在 转 
>< 信息 和 权限 属性 等 属性 信息 对 主体 的 身份 信息 进行 验证 。 发 表 中 找到 匹配 的 叶 节 点 ， 从 而 提高 查找 效率 的 思想 ， 本 文 
[a @ 根 据 PAP 提供 的 策略 查询 结果 对 PEP 转发 来 的 AAR 提出 一 种 基于 二 进 制 序列 的 属性 访问 控制 策略 检索 方法 ， 该 
CS 进行 判定 ， 决 定 是 否 对 AAR 进行 授权 。 方法 通过 对 策略 进行 二 进 制 标识 ， 根 据 二 进 制 标识 对 其 进行 
全 (DPAP 将 判定 结果 传递 给 PAP，PEP 执行 决策 结果 。 分 组 形成 若干 策略 集合 组 ， 对 组 内 的 策略 进行 二 进 制 编码 。 
《9) ABAC 的 成 功 部 署 需要 两 个 关键 部 分 : 一 是 定义 良好 的 当 进 行 访问 时 ， 先 对 访问 控制 请 求 进行 二 进 制 标识 与 编码 ， 
策略 描述 语言 ; 二 是 为 ABAC 制定 一 种 有 效 的 策略 检索 方法 。 然后 通过 访问 控制 请 求 与 策略 的 逻辑 运算 从 而 选择 合适 的 组 ， 
其 中 , 前 者 有 利于 防止 云 平 台 资源 数据 泄露 和 非法 授权 访问 ， 过 滤 掉 大 量 无 关 策 略 。 最 后 ， 访 问 控制 请 求 的 二 进 制 编码 的 
而 后 者 能 确保 访问 控制 请 求 到 来 时 得 到 及 时 响应 。 值 与 组 内 策略 的 值 进行 逻辑 运算 而 避免 对 策略 中 属性 信息 的 
一 方面 ， 在 如 何 定 义 良好 的 访问 控制 的 授权 策略 描述 语 单个 匹配 ， 从 而 提高 检索 效率 。 
言 方面 , 学 者 们 对 不 同 的 访问 控制 模型 和 应 用 场景 进行 研究 ， SS i a ee i A 
提出 了 XACML、 应 用 于 Web 服务 的 基于 图 的 策略 可 视 化 描 2 基于 二 进 制 序列 的 属性 访问 控制 策略 检索 方法 
述 语言 由 ,适用 于 RESTful 接 口 的 策略 描述 语言 RestPL[5 等 。 2.1 构建 基于 二 进 制 标 识 的 策略 和 AAR 
其 中 ， 较 为 常用 且 适 用 于 ABAC 模型 的 是 XACML。 但 在 实 为 了 对 ABAC 策略 和 AAR 进行 二 进 制 标识 ， 本 文 需要 
际 的 云 部 署 中 ， 各 个 企业 更 倾向 于 自己 的 策略 描述 语言 。 另 统计 出 现在 访问 控制 策略 集合 中 所 有 属性 ， 并 对 该 属性 按照 
一 方面 , 对 于 一 些 大 型 的 组 织 , 随 着 ABAC 的 规模 越 来 越 大 ， 主体 、 客 体 、 环 境 和 权限 的 特定 顺序 排列 。 并 且 ， 主 体 、 客 
其 用 户 在 同一 时 刻 发 出 访问 请 求 的 数量 会 也 越 来 越 多 。 因 此， 体 、 环 境 和 权限 属性 的 内 部 属性 也 要 按 一 定 的 顺序 进行 排列 ， 
有 效 的 检索 ABAC 策略 对 实时 响应 用 户 的 AAR 是 至 关 重 要 以 此 来 保证 二 进 制 标识 的 有 效 性 。 通 常 ， 属 性 分 为 目录 属性 
的 ， 也 直接 影响 着 用 户 的 体验 。 和 非 目 录 属 性 ， 目 录 属 性 指 的 是 一 些 决 策 信 息 属 性 值 ， 包 括 
在 如 何 有 效 地 检索 ABAC 策略 方面 , 目前 研究 人 员 已 经 {allow, denny}， 每 条 规则 有 且 仅 有 一 个 决策 属性 。 非 目录 属 
取得 了 一 些 成 果 。 这 些 研究 工作 大 致 分 为 两 类 : 一 类 是 对 策 性 指 的 是 作出 决策 需要 衡量 的 属性 信息 包括 主体 属性 、 客 体 
各 访问 控制 语言 为 XACML 标准 的 策略 检索 方法 的 改进 ， 另 属性 、 环 境 属 性 和 操作 属性 。 对 规则 的 编码 只 是 针对 非 目 录 
一 类 是 根据 下 一 代 访 问 控制 NGACI67 标 准 进行 策略 检索 方 属性 ， 分 别 用 二 进 制 数字 0 和 1 来 表示 该 属性 在 访问 控制 请 
法 的 改进 。 求 和 策略 集合 中 是 否 出 现 , 0 表示 未 出 现 , 1 表示 出 现 ， 从 而 
对 于 如 何 提高 策略 的 检索 效率 ， 缩 短 策 略 检索 时 间 ， 这 ”形成 ABAC 策略 和 AAR 的 二 进 制 标识 。 
方面 的 研究 较 少 。 在 传统 的 策略 检索 方法 的 检索 过 程 中 ， 当 在 云 计算 环境 中 ， 用 户 通 过 各 自 的 终端 设备 请 求 服务 ， 
有 访问 控制 请 求 时 ， 需 要 对 所 有 的 策略 进行 遍历 ， 阁 出 现 策 如 果 本 文 构建 如 表 1 所 示 的 属性 信息 ， 再 利用 这 些 属性 信息 
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去 构建 如 表 2 所 示 的 ABAC 策略 。 二进制 标识 只 是 针对 非 目 ABAC 的 属性 值 由 两 种 类 型 组 成 : 离散 属性 值 和 连续 属 
录 属 性 ， 其 维度 就 是 非 目录 属性 的 个 数 ， 即 统计 访问 控制 规 。 性 值 。 
则 中 所 有 属性 个 数 ， 其 属性 的 总 数 就 是 三 进 制 标 识 的 位 数 。 1) 离 散 属性 编码 
例如 , 表 2 中 单个 规则 中 拥有 的 最 多 的 非 目 录 属 性 个 数 是 6， 侈 如， 上 文中 出 现 的 主体 属性 的 SA_Role 的 属性 值 的 取 
所 以 二 进 制 标识 位 的 长 度 为 6。 规则 中 存在 该 条 属性 ， 就 把 。 值 范围 为 {student，teacher，admin} 是 离散 属性 值 。 如 果 主 体 
对 应 的 值 置 为 1， 否则 为 0。 也 就 是 说 , 每 一 个 二 进 制 位 表示 sl 的 属性 sal 是 离散 属性 ， 说 明 sai 的 取 值 是 相互 独立 的 ， 其 
该 条 规则 中 是 否 存在 该 属性 。 取 值 范围 可 以 通过 枚 举 的 方式 表示 。 本 文 对 其 采用 哑 变 量 纺 
表 1 属性 组 合 码 方式 进行 编码 。 其 中 ,1 表示 该 属性 值 存在 , 0 表示 该 属性 
Tab.1 Attribute combination 值 不 存在 。 对 于 该 属性 位 都 不 存在 的 情况 ， 则 把 所 有 位 置 全 
主体 属性 客体 属性 环境 属性 权限 属性 置 为 0。 假设 sal 的 取 值 范围 为 fsaitvo， saivi1, saiv2}, 一 共有 3 
SA Role SA _ trust OA _ type OA trust EA Network PA permission 个 值 可 取 , 则 采用 三 个 二 进 制 位 进行 编码 。 若 sal 的 取 值 范围 
student low personal low home delete 为 attr(sal 冯 {saiv1}, 对 其 编码 时 除了 第 二 位 其 余 位 全 置 为 0， 
teacher middle common middle work read 即 编码 为 101。 和 若 为 attr(sal)={saivi, saiv2}, 则 把 和 二进制 序列 
admin high high public write 的 第 二 位 和 第 三 位 置 为 1, 其 余 位 置 全 置 为 0, 即 110。 主体 s 
表 2 访问 控制 策略 集合 的 属性 saz 的 取 值 范围 为 {sazvo, sazv1}, 一 共有 2 个 值 可 取 。 医 
Tab.2 Access control policy set 此 ,采用 5 个 二 进 制 位 对 主体 si 属性 进行 编码 ,如 表 3 所 示 。 
规则 attr(SA) Attr(OA) ”Attr(EA) Attr(PA)Decide 二进制 标识 表 3 属性 的 三 进 制 编码 
Ri student Vlow personal Vlow home delete permit 111111 Tab.3 Binary encoding of attributes 
R2 low personal Vlow public delete deny 01111l 主体 属性 取 值 范围 二 进 制 编码 
Rs Student low work delete deny 10011l attr(sa1)={Sai=saivi} Vattr(sa2)={sa2=Sa2Vo} 01010 
Ra Student low home delete permit 100111 attr(sa1)={sa1# saivi} Vattr(sa2)={Sa2=sa2Vo} 01101 
如 前 所 述 , ABAC 的 访问 控制 分 为 准备 阶段 和 执行 阶段 。 attr(sa1)={sai-{saivi, saltvz } Vattr(sa2)={sa2=sa2vo} 01110 
在 准备 阶段 ，PAP 需要 对 策略 集合 中 的 每 条 规则 进行 二 进 制 attr(sal) ={sal=salvi} 00010 
标识 。 在 策略 执行 阶段 ， 只 需要 对 AAR 进行 二 进 制 标识 ， attr(sa2)= {sa2=sa2vo} 01000 
然后 与 策略 的 三 进 制 标识 进行 逻辑 与 运算 ， 当 运算 结果 与 访 2) 连 续 属 性 编码 
问 控制 规则 的 二 进 制 标识 一 致 时 ， 则 对 该 规则 的 其 他 属性 进 在 特定 访问 控制 环境 中 会 指定 在 某 个 时 间 段 内 允许 访问 
行 检 测 ， 即 判断 AAR 的 属性 是 否 符合 规则 的 属性 信息 。 资源 或 者 需要 设置 主体 属性 的 信任 等 级 处 于 每 个 信任 值 之 间 ， 
为 进一步 减少 策略 检索 时 间 , 根据 ABAC 策略 的 二 进 制 。” 这 就 需要 设置 连续 属性 。 对 连续 的 无 法 枚 举 的 属性 值 ， 需 要 
标识 进行 分 组 ， 构 建 类 似 路 由 中 二 又 线索 树 。 在 该 树 中 ， 除 ”将 其 离散 化 。 在 访问 控制 系统 中 比较 常用 的 连续 属性 是 信任 
了 第 一 层 根 节点 外 的 每 个 节点 都 表示 一 个 分 组 ， 二 进 制 标识 。 ”连续 属性 和 时 间 连 续 属性 。 以 信任 连续 属性 为 例 对 连续 属性 


相同 的 规则 在 同一 组 ， 二 进 制 标识 不 同 的 在 不 同 的 组 。 如 何 离散 进行 说 明 ， 时 间 连 续 属 性 和 信任 连续 属性 的 编码 和 

访问 控制 规则 的 属性 代表 的 是 对 AAR 的 要 求 ， 即 要 昌 离散 化 过 程 类 似 。 如 前 述 主体 的 SA_trust 属性 和 客体 的 
该 条 访问 控制 规则 匹配 成 功 , AAR 需要 拥有 规则 所 要 求 的 OA _trust 属性 表示 的 都 是 主体 所 具备 的 信任 值 和 访问 客体 的 
性 和 属性 值 。 这 就 意味 着 AAR 和 规则 的 匹配 并 不 非 毫 无 差 主体 需要 满足 的 信任 值 ， 主 体 所 具备 的 信任 值 是 采用 一 定 的 
别 的 匹配 。 实 际 上 , 在 策略 检索 的 时 候 ， 只 检测 AAR 的 属性 计算 方法 计算 出 来 的 值 如 文献 [16] 所 提出 的 计算 方法 。 
是 否 符合 访问 控制 规则 的 属性 信息 ， 对 于 AAR 中 多 出 的 属 2.3 基于 二 进 制 序列 的 策略 检索 方法 分 析 
性 , 并 不 做 额外 的 匹配 要 求 , 即 AAR 中 的 额外 属性 并 不 影响 访问 控制 策略 中 每 个 属性 的 取 值 范围 代表 的 是 对 访问 控 
其 匹配 的 成 功 与 否 。 例 如 ， 某 AAR 为 (SA_Role=”student”， 制 请 求 的 属性 组 合 的 要 求 ， 即 想 要 获得 访问 客体 的 特定 权限 
SA trust="low”, OA type=”personal”, OA trust="low”, 需要 满足 的 属性 和 属性 值 ， 这 意味 着 策略 和 访问 控制 请 求 的 
EA Network=”public”, PA_permisssion=”Denny”)， 其 二 进 制 上 全 一 致 无 差别 的 匹配 。 实 际 上 ， 策 略 的 匹配 都 
标识 为 111111, 但 是 ,对 其 二 进 制 标识 位 011111,101111,.…， 是 字符 串 的 匹配 ， 访 问 控制 策略 只 检测 访问 控制 请 求 是 否 
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111110 的 分 组 也 有 可 能 存在 符合 该 AAR 的 规则 。 若 在 表 2 有 相关 属性 信息 ， 访 问 控制 请 求 有 额外 的 属性 信 

的 访问 控制 策略 集合 中 查找 合适 的 规则 ， 其 中 ， 二 进 制 标识 其 匹配 的 成 功 与 否 。 例 如 ， 存 在 这 样 的 一 条 策略 ， 主 体 可 以 
为 011111 的 分 组 中 的 Rs 规 则 也 符合 该 AAR。 在 工作 时 间 访 问 客体 资源 ， 如 果 主 体 在 工作 时 间 发 出 访问 客 
2.2 属性 信息 的 二 进 制 编码 体 资源 的 请 求 ， 在 该 请 求 中 包含 了 该 主体 的 角色 信息 ， 那 么 

实际 上 , 如 果 对 ABAC 策略 进行 二 进 制 标 识 并 进行 分 组 ， ”该 主体 的 访问 仍然 是 被 允许 的 。 

在 进行 策略 检索 时 ， 就 能 有 效 的 缩短 策略 检索 的 范围 ， 使 得 以 表 2 中 的 策略 集合 为 例 , 选 取 表 1 中 的 属性 值 构建 基于 
策略 的 范围 局 限 到 符合 二 进 制 标识 的 几 个 组 内 ， 过 滤 掉 大 量 记性 的 访问 控制 请 求 {SA_role=student SA _trust=low, 
无 关 的 规则 ， 从 而 缩短 策略 检索 的 时 间 。 但 是 ， 当 在 本 组 检 OA trust=low, EA Network=work, PA permission=delete}, 首 


索 的 时 候 ， 需 要 对 每 条 规则 的 每 个 属性 的 取 值 与 AAR 的 对 ” 先 ， 根据 本 文 提 到 的 基于 二 进 制 序列 属性 访问 控制 策略 检索 
应 取 值 进行 匹配 , 检验 AAR 是 否 满足 该 条 规则 , 最 坏 情况 就 ” 方法 ,对 表 2 中 的 规则 进行 编码 的 结果 依次 为 : (Rb 
是 每 次 检测 到 规则 的 最 后 一 个 属性 时 ， 才 发 现 该 规则 不 符 ， 10010010100100100) ， (CR2， 00010010100001100) ， (R;, 
这 样 将 会 造成 时 间 上 的 浪费 。 如 果 存 在 这 样 的 规则 过 多 ， 将 ”10000000100010100), (R4, 10000000100100100)。 然 后 对 AAR 
会 造成 策略 检索 时 间 过 长 。 为 此 ， 本 文 提 出 对 每 个 组 的 访问 ”进行 二 进 制 标识 ,除了 OA_type 未 设置 属性 值 外 , 每 个 属性 都 
控制 策略 进行 二 进 制 编码 。 这 样 只 需要 对 AAR 的 二 进 制 编 。” 有 属性 值 ， 所 以 AAR 的 二 进 制 标识 为 110111。 按 照 前 述 提 
码 与 ABAC 策略 的 二 进 制 编码 进行 逻辑 运算 而 作出 授权 决 到 的 编码 方法 对 AAR 进行 编码 为 (AAR， 
策 ， 而 不 需要 对 策略 集合 的 每 条 访问 控制 策略 的 每 个 属性 值 。 10010000100010100)。 访 问 控 制 请 求 的 三 进 制 标识 和 策略 的 
进行 判断 ， 从 而 节省 策略 检索 的 时 间 ， 提 高 策略 检索 效率 。 二 进 制 标 识 做 逻辑 与 运算 110111 & 111111=110111#111111， 
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说 明 Ri 规则 所 在 的 组 不 符合 访问 控制 请 求 的 属性 要 求 , 跳 过 17. for (ti=6jiic<Group.sizejiti++) do /* 进 行 策略 检索 */ 
Ri 所 在 的 组 ， 对 第 二 个 组 的 规则 进行 查询 110111 & 18. if (Group.[i].groupbinary&AAR.groupbinary)== 
011111=010111#011111， 所 以 R2 所 在 的 第 二 组 也 不 符合 属性 Group[i].groupbinary) then 
要 求 , 过 滤 掉 该 组 ,对 第 三 个 组 进 二 进 制 标识 为 100111 的 规 19. for(g=0;g¢Group[i].size;g++) do 
则 组 进行 查询 ，110111 &&100111=100111, 说 明 在 Rs 规则 所 在 的 26. if (Group[i].ruleset[g]. policycode&AAR.policy_code 
组 是 需要 进一步 查找 的 组 ，Rs 规则 的 二 进 制 编码 == (Group[i].ruleset[9g].policycode) 
10000000100010100 与 访问 控制 请 求 的 三 进 制 编码 21. then 
10010000100010100 进行 逻辑 与 运算 的 结果 为 22. decide(); /* 作 出 决策 */ 
10000000100010100 策略 的 二 进 制 编码 相等 ， 即 23. end if 
10000000100010100 & 10010000100010100= 10000000100010100， 24. end if 
则 该 条 规则 就 是 要 找 的 规则 ， 因 为 其 决策 属性 为 Denny， 所 25. end for 
以 PDP 的 决策 结果 将 是 拒绝 本 次 访问 ， 本 次 策略 检索 结束 。 根据 前 述 的 对 AAR 进行 二 进 制 标识 和 编码 的 算法 来 看 : 
在 以 上 的 策略 检索 过 程 中 ， 如 果 采 用 传统 的 策略 检索 方 本 文 对 AAR 处 理 的 最 多 的 次 数 是 ARR 的 数量 ， 所 以 其 时 间 
法 ， 则 需要 对 策略 集合 中 的 每 条 规则 的 每 个 属性 进行 匹配 ， 复杂 度 位 O(n)。 当 进行 策略 检索 时 ， 要 对 每 个 分 组 的 每 条 规 
直到 找到 所 需要 的 规则 为 止 , 因此 需要 执行 的 匹配 次 数 为 18 则 进行 判断 , 所 以 其 时 间 复 杂 度 位 0(n?”), 通常 ,n 取 值 不 大 ， 
次 ， 如 果 采 用 根据 二 进 制 标识 分 组 的 方法 则 需要 AAR 的 二 如 后 面 实验 中 ， 本 文 取 n=6。 
OO 
断 是 否 与 策略 的 二 进 制 标识 一 致 ， 减 少 了 不 合适 规则 属性 的 
匹配 次 数 , 因此 进行 匹配 的 次 数 为 10 次 。 采用 基于 二 进 制 序 为 评估 基于 二 进 制 序列 策略 检索 方法 的 效率 ， 本 文 在 
列 的 属性 访问 控制 策略 检索 方法 只 需要 进行 二 进 制 标识 匹配 Win10 平台 上 利用 C++ 语言 在 Qt Creator 中 编写 测试 代码 ， 
局 和 二 进 制 编码 匹配 ， 因 此 只 执行 的 匹配 次 数 为 4 次 ， 其 具体 并 用 Matlab 作为 数据 分 析 工 具 。 通 常 ， 评 估 检 索 方 法 需要 大 
的 策略 检索 过 程 如 图 1 所 示 。 量 的 ABAC 策略 和 AAR， 不 幸 的 是 ， 由 于 访问 控制 策略 属 
本 于 机 密 性 内 容 ， 无 法 获得 真实 的 行业 数据 。 通 常 ， 路 由 器 上 
[| "=a | "une ] a] ER 的 访问 控制 策略 条 数 是 300-500 条 。 如 文献 [13] 选取 策略 总 
| Casa ] pp 数量 为 105、210、315、433、525 的 五 种 情况 进行 实验 。 本 
nad 大、 [wows |] 文中 ,为 了 说 明 算法 的 高 效 性 以 及 出 现 大 规模 的 访问 控制 策 
Cs] Cem 一 一 各 问题 ， 选 取 更 多 的 访问 控制 策略 条 数 ， 如 : 2000、2500 和 
YY ws 3000。 因 此 ， 参 考 了 上 述 提 到 的 属性 信息 ， 实 现 一 个 简单 的 
ow “WP> 策略 和 访问 控制 请 求生 成 器 ， 产 生 了 4000 条 ABAC 策略 和 
-= 2000 条 AAR, 其 中 每 条 策略 包含 一 个 访问 控制 规则 。 为 了 保 
图 1 基于 二 进 制 序列 的 策略 检索 机 制 流程 证 二 进 制 标识 的 有 效 性 ， 参 考 了 文献 [17] 的 数据 分 类 方法 进 
Fig. 1 Process of policy retrieval mechanism based on binary sequence 行 标准 化 。 本 文 的 实验 以 这 些 数据 为 基础 从 策略 预 处 理 、 策 
基于 二 进 制 序列 的 属性 访问 控制 策略 检索 方法 的 核心 算 略 评估 时 间 、 策 略 检索 总 时 间 三 个 方面 测试 本 文 提出 的 检索 
法 如 下 算法 1。 方法 的 效率 。 同 时 ， 为 保证 测试 结果 的 一 般 性 ， 以 下 实验 得 
算法 1 基于 二 进 制 标识 的 策略 检索 算法 到 的 数据 都 是 进行 10 次 实验 并 对 其 求 平 均值 的 结果 。 实 验 
Input: policy_set，AAR /* 策 略 集合 ， 要 进行 判别 的 访问 控 “环境 为 : CPU: 11tGen Intel(R)Core(TM)i5-1135G7@2.40GHZ 
制 请 求 */ 2.42GHz, RAM:16.00GB; Qt Creator 3.3.0(opencesource) Based 
Output: Decision /* 决 策 结果 */ on Qt 5.4.0(MSVC 2010,32 bit)，Matlab 版 本 : 8.6.0.267246 
1. Begin (R2015b)。 
2. Step 1: Identify and encode attribute-based access 在 下 列 实验 中 ， 考 虑 到 本 文 提出 的 二 进 制 标识 和 编码 方 
control requests. 法 与 文献 [11] 和 [13] 方 法 都 属于 分 组 型 和 前 级 型 查找 方法 , 本 
3. Init(AAR.policy_groupbinary); 文 用 SG-PRM 表示 文献 [11] 提 出 的 基于 前 级 的 策略 检索 方法 
4. Init(AAR.policy code); /* 对 访问 控制 请 求 二 进 制 标 识 和 AG-PRM 表示 文献 [13] 提 出 的 基于 属性 分 组 的 访问 控制 策略 
策略 编码 位 进行 初始 化 */ 检索 方法 , 而 B-S-PRM 指 本 文 提 出 的 策略 检索 方法 。 实验 对 
5. for (i=0;i< AAR.size();i+t+) do 比 都 是 基于 相同 的 访问 控制 策略 和 访问 控制 请 求 。 策 略 复杂 
6. if (AAR[i]) exist then 度 指 的 是 策略 中 每 条 规则 中 所 包含 的 属性 键 值 对 的 个 数 。 
7. AAR.policy_groupbinary.setposition(p)=1 /* 对 访问 控制 3.1 策略 预 处 理 时 间 
请 求 进行 二 进 制 标 识 */ 策略 预 处 理 是 在 访问 控制 的 准备 阶段 完成 的 ， 主 要 对 策 
8. end if 略 属性 进行 部 署 。 本 文 提 出 的 策略 检索 方法 的 策略 预 处 理 时 
9. end for 间 指 的 是 PAP 对 策略 集合 中 的 每 一 条 规则 添加 二 进 制 标识 、 
16. for (7=6j;7J<AAR.policy_code.size();7T++) do  /* 对 访 分 组 、 编 码 的 时 间 。SG-PRM 在 策略 预 处 理 阶段 对 策略 进行 
问 控制 请 求 进行 二 进 制 编码 */ 二 进 制 标识 。AG-PRM 在 策略 预 处 理 阶 段 对 策略 进行 二 进 制 
11. if (AAR[j].attrvale) exit then 标识 , 分 组 。 图 2 可 知 ， 当 把 策略 数目 设置 为 500，1000， 
12. a=getposition(AAR[j].attrvale); 1500，2000，2500 时 ，B-S-PRM, SG-PRM 和 AG-PRM 策略 
13. AAR.policycode.setposition(a)=1; 检索 时 间 都 随 着 策略 数目 的 增多 检索 时 间 也 逐渐 增长 ， 且 呈 
14. end if 线性 增长 趋势 。 其 中 ，AG-PRM 和 SG-PRM 这 两 种 策略 检索 
15. end for 方法 的 策略 预 处 理 时 间 比 较 接 近 ， 且 低 于 B-S-PRM 策略 检 
16. Step 2: Retrieve policy table. 索 方法 的 策略 预 处 理 时 间 ， 这 是 因为 本 文 提 出 的 策略 检索 方 
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Fig.5 The total policy retrieval time 


综 上 所 述 ， 本 文 提 出 的 策略 检索 方法 虽然 在 策略 的 预 处 
理 时 间 比 其 他 两 种 策略 检索 方法 时 间 更 长 ， 但 是 其 策略 的 检 
索 时 间 却 显著 的 缩短 了 ， 检 索 效率 优势 明显 。 随 着 策略 规模 
的 增 大 ， 本 文 提 出 的 策略 检索 方法 的 检索 时 间 并 未 发 生 显著 
变化 。 应 用 到 云 计 算 、 的 基于 属性 访问 控制 的 部 署 中 ， 当 用 
户 的 访问 控制 请 求 到 来 时 , 该 方法 能 够 缩短 用 户 的 等 待 时 间 ， 


JE 


实时 响应 用 户 的 访问 控制 请 求 。 
4 ”结束 语 


随 着 云 计算 、 物 联网 技术 的 兴起 ， 当 今 的 网 络 环境 越 来 
越 趋 于 海量 性 和 动态 性 ， 用 户 和 资源 规模 巨大 ， 主 客体 的 访 
问 环境 也 实时 动态 变化 。 基 于 属性 访问 控制 作为 一 种 保护 客 
体 资源 的 有 效 技术 而 被 广泛 应 用 。 用 户 希 望 在 较 短 的 时 间 内 
得 到 访问 客体 资源 的 权限 ， 从 而 缩短 策略 检索 时 间 ， 减 少 对 
访问 控制 请 求 的 响应 时 间 。 然 而 ， 现 有 的 基于 属性 访问 控 种 
策略 的 检索 方法 应 用 于 大 规模 访问 的 情况 下 存在 着 一 定 的 不 
足 。 针 对 该 问题 ， 本 文 提出 一 种 基于 二 进 制 序列 的 属性 访问 
控制 策略 检索 方法 。 该 方法 对 基于 属性 访问 控制 请 求 和 基于 
属性 访问 控制 进行 二 进 制 标识 和 编 进 制 标识 
对 策略 进行 分 组 。 在 进行 检索 时 ， 首 先 ， 访 问 控制 请 求 的 二 
进 制 标识 和 组 二 进 制 标识 进行 逻辑 与 运算 来 选择 符合 
分 组 ， 过 滤 掉 大 量 无 关 的 策略 。 然 后 ， 访 问 控制 请 求 的 二 进 
制 编码 与 组 内 规则 的 二 进 制 编码 做 逻辑 运算 来 选择 合适 规则 ， 
减少 了 策略 集合 内 规则 的 属性 与 访问 控制 请 求 属性 匹配 的 过 
程 。 实 验 结果 验证 了 本 文 提出 的 策略 检索 方法 具有 更 低 的 策 
各 检索 时 间 ， 更 高 的 检索 效率 。 
在 保证 策略 检索 效率 的 情况 下 ， 考 虑 将 本 文 的 策略 检索 
方法 和 属性 加 密 相 结合 来 进一步 提高 属性 的 安全 性 是 未 来 的 
研究 方向 。 另 外 ， 本 文 的 提出 策略 检索 方法 只 在 理论 层面 ， 
如 把 该 策略 与 实际 情况 相 结合 进行 优化 ， 以 适应 于 未 来 实际 
的 应 用 也 是 将 来 的 研究 方向 。 
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